HTML Escape / Unescape

Codificar y decodificar entidades HTML en línea

Entrada

Ingresa HTML para escapar

0 caracteres

Configuración

Formato de entidad

Mantener saltos de línea

Codificar todos los caracteres

Nombrado: &lt; | Decimal: < | Hex: <

Salida

Resultado de entidades HTML

0 caracteres

Herramientas relacionadas

Codificador/Decodificador Base64Codificar y decodificar cadenas Base64 en línea Codificador/Decodificador URLCodificar y decodificar URLs de forma segura Conversor de Mayúsculas/MinúsculasConvertir formatos de texto

Acerca de esta herramienta

El escape de HTML es fundamental para la seguridad web y la visualización de datos. Creé esta herramienta después de lidiar con innumerables vulnerabilidades XSS durante auditorías de seguridad y necesitar mostrar contenido generado por usuarios de forma segura. Ya sea que esté sanitizando entradas de formularios, depurando motores de plantillas, preparando datos para serialización JSON/XML, o enseñando conceptos de seguridad web, la codificación adecuada de entidades HTML es esencial. La herramienta admite tres formatos de entidades: entidades nombradas (<, >), entidades decimales (<, >) y entidades hexadecimales (<, >)—cada una útil en diferentes contextos. Todo el procesamiento ocurre en el lado del cliente en su navegador, lo que hace seguro manejar contenido sensible sin enviar datos a ningún servidor.

Cómo usar

Para escapar: pegue su HTML o texto que contenga caracteres especiales en el panel de entrada. La herramienta convierte automáticamente caracteres como <, >, &, \", y ' a sus equivalentes de entidades HTML en tiempo real. Elija su formato de entidad preferido: Nombradas (más legible, ej. &), Decimal (ampliamente compatible, ej. &), o Hexadecimal (compacto, ej. &). Active 'Mantener saltos de línea' para preservar o eliminar saltos de línea. Para desescapar: pegue HTML con entidades y la herramienta las decodificará a caracteres originales. La opción 'Codificar todos los caracteres' escapa incluso caracteres no especiales, útil para máxima compatibilidad en casos extremos.

Casos de uso comunes

Prevención XSS

Escape la entrada del usuario antes de mostrarla: '<script>alert(XSS)</script>' se convierte en '<script>alert(XSS)</script>'.

Depuración de plantillas

Desescape la salida de plantilla renderizada para ver el HTML realmente generado.

Escape de cadenas JSON

Prepare fragmentos HTML para serialización JSON escapando comillas y caracteres especiales.

Mostrar código

Muestre ejemplos de código HTML en páginas web escapando etiquetas para que aparezcan como texto.

HTML de correo

Escape caracteres especiales en líneas de asunto o encabezados de correo.

Almacenamiento en base de datos

Escape HTML antes de almacenar en campos de texto para evitar problemas de renderizado.

Limitaciones y notas importantes

Esta herramienta maneja entidades HTML definidas en la especificación HTML5. NO elimina ni sanitiza atributos HTML potencialmente peligrosos (como onclick, onerror) o código JavaScript—solo escapa representaciones de caracteres. Para una verdadera prevención XSS, combine el escape con Content Security Policy (CSP) y validación de entrada. La herramienta asume codificación UTF-8; otras codificaciones pueden producir resultados inesperados. Para documentos muy grandes (>5MB), los límites de memoria del navegador pueden causar ralentizaciones. La codificación de entidades aumenta el tamaño del texto; no es ideal para escenarios con ancho de banda limitado.